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ONTOP Service 

ONTOP (ONline Technical OPeration) ist ein Verfahren zur Femwartung von zOS 
Rechnersystemen, das die IBM ihren Kunden im Rahmen von Operational Support 
Servicevertragen (Comfort Line) zur Vcrfiigung stellt. 

ONTOP ist seit 1986 verfiigbar und wurde bis 1999 ausschlieBlich iiber SNA Verbindungen 
als Online Service betrieben. Seit 1999 ist der ONTOP Service auch iiber IP Verbindungen 
moglich, mit einem optionalen Zusatz zur Ubertragung von Fehlerdaten. 

Folgende Verbindungsarten werden angeboten: 

1. ISDN/PPP/CHAP (Telnet / FTP) 

2. ISDN/PPP/IPSec (Telnet / FTP) 

3. INTERNET/IPSec (Telnet) 

In diesem Antrag wird nur auf die Verbindungsart 3 Bezug genommen. 

Nach der Einrichtung der Verbindung, kann ein IBM Spezialist im Fehlerfall aus dem IBM 
SNA Netz heraus iiber das Security Gateway NVAS/ONTOP das Kundensystem anwahlen 
und dort mit Hilfe der vorinstallierten TSO/REXX-ISPF Anwendung das Problem, von 
seinem Arbeitsplatz aus, bearbeiten. 

Experten zum Problem zu bringen und nicht das Problem zum Experten, 

das ist das primare Ziel von ONTOP. 

Ist das Problem jedoch auf dem Kundensystem nicht zu losen, dann konnen die Fehlerdaten 
mit Hilfe von FTP zur IBM transferiert werden. 
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Aufgaben der IBM 

1. Einrichten des jeweiligen Kunden im ONTOP/NVAS auf IBM Seite 

2. Einrichten des jeweiligen Kunden auf dem IBM Router 

3. Bereitstellen der techn. Beschreibung der Netzverbindung (Bestandteil des Antrags) 

4. Installation, Anpassung und Test der REXX-ISPF/ONTOP Anwendung auf Kundenseite 

5. Entscheidung fiber den Einsatz von ONTOP 


Aufgaben des Kunden 

1. Bereitstellung der fiir die Netzverbindung notwendigen Hardware 

2. Einrichten der von IBM vorgegebenen Adressen und Routen 

3. Bereitstellung von mindestens 3 TSO Userids fiir IBM auf dem zu wartenden System 

4. Anpassung der TSO/REXX-ISPF Anwendung bei Anderungen im Kundensystem 

5. Sicherstellung des Zugriffs auf alle von der IBM fiir die Analyse benotigten Ressourcen 

6. Information der IBM iiber Anderung der Verbindungsdaten 


Kosten 

Der ONTOP Service ist Bestandteil von IBM Operational Support Services (Comfort Line) 
Vertragen und somit durch diese Vertrage finanziell abgedeckt. 
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Copyright 

Die auf dem Kundenrechner installierte TSO/REXX-ISPF Anwendung unterliegt den IBM 
“Copyright Bestimmungen”. Ohne vorherige Zustimmung der IBM darf der Kunde diese 
Wartungshilfe weder kopieren noch Dritten zuganglich machen. 

Anderungen am von der IBM genutzten Code diirfen nicht vorgenommen werden. 

Datensicherheit 

Grundvoraussetzung fiir Datensicherheit ist die Klassifikation der Daten. 

Somit muB jeder Eigentiimer von Daten seine Daten klassifizieren und dann basierend auf der 
Klassifikation die Zugriffsberechtigungen erteilen. 

Kundendaten, die in den Zustandigkeitsbereich der IBM gelangen unterliegen stets der 
hochsten Klassifikation “IBM Confidential”, was heiBt, die Daten sind vertraulich zu 
behandeln und diirfen Dritten nicht zuganglich gemacht werden. 

Desweiteren verpflichtet sich die IBM samtliche rechtlichen und gesetzlichen Vorschriften, 
wie z.B das Bundesdatenschutzgesetz (BDSG) zu beachten. 

IBM Mitarbeiter, die personenbezogene Daten im Sinne des BDSG verarbeiten, sind gemaB 
§ 5 BDSG auf die Einhaltung der gesetzlichen Bestimmungen verpflichtet. Sie sind dariiber 
hinaus durch ihren Arbeitsvertrag verpflichtet, alle Informationen, die ihnen im Rahmen ihrer 
Tatigkeit fiir die IBM zur Kenntnis gelangen und nicht offentlich verfiigbar sind, geheim zu 
halten. Unterauftragnehmer der IBM werden durch ihren Vertrag mit der IBM verpflichtet 
ihre Mitarbeiter gemaB §5 auf die Bestimmungen des BDSG zu verpflichten. 

Um sicher zu stellen, daB alle IBM Vorschriften eingehalten werden, sind bei der IBM die 
dafiir notigen technischen und organisatorischen Standards eingefiihrt. 

In all den Jahren, in denen ONTOP nun schon eingesetzt wird (seit 1986) ist es nie zu 
SicherheitsverstoBen gekommen, was die zum Thema Datensicherheit getroffenen 
MaBnahmen bestatigt. 

Wir sind daher sicher, daB es durch den Einsatz von ONTOP zu keinen Sicherheitsproblemen 
kommen wird, sich aber die Verfiigbarkeit der mit ONTOP gewarteten Systeme erhohen 
wird. 

Zum Zeichen des Einverstandnisses bitten wir Sie um Riicksendung einer von Ihnen und der 
fiir Sie zustandigen TA-GS gegengezeichneten Ausfertigung dieses Schreibens, an die unter 
ONTOP Ansprechpartner angegebene FAX Nummer. 


Unterschrift IBM (TA-GS) 


Unterschrift des Kunden 


Ort/Datum 


Ort/Datum 
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Kundenvoraussetzungen 

Um eine Internet Verbindung schalten zu konnen, muB der Kunde folgende Voraussetzungen 
erfiillen: 

1. IBM Operational Support Servicevertrag (Comfort Line) fur GroBsysteme muB vorliegen 

2. Der Kunden ONTOP Host muB mit einem LAN/Router verbunden sein 

3. Eine Internet Verbindung muB vorhanden sein 

4. OS/390-CS muB auf dem Kunde ONTOP Host installiert sein 

5. Ein Telnet Server muB eingerichtet sein 

6. Wenigstens eines der von IBM genutzten Netze sollte nicht genutzt werden 

• 192.168.69.0 SM: 255.255.255.0 

• 192.168.169.0 SM: 255.255.255.0 

7. Die mit IBM vereinbarte Sourceadresse muB im Kundennetz geroutet werden 

8. Kunden Router muB “IPSec-fahig” sein. 

Die IBM iibernimmt keine Aufgaben auf Kundenseite. 
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Technische Beschreibung TSO/ONTOP 

TSO/ONTOP ist eine Online Verbindung zwischen IBM und Kunden. 

Es ist eine ONTOP exklusive Umgebung, mit dem IBM Frontend (NVAS/ONTOP) einer 
ONTOP Netzwerkverbindung und der Fehleranalysekomponente (TSO/ONTOP) auf 
Kundenseite. 

TSO/ONTOP Komponenten: 

• (NVAS/ONTOP) auf IBM Seite 

• ONTOP Netzwerkverbindung 

• TSO/REXX/ISPF Anwendung auf Kundenseite 

NetView Access Applikation (NVAS/ONTOP) 

NVAS/ONTOP auf der IBM Seite ist ein zertifiziertes “Security Gateway” das sicheren, 
kontrollierten und dokumentierten Zugriff aus dem IBM SNA Netz heraus auf Kundennetze 
garantiert. 

Netzwerkverbindung 

Die Netzwerkverbindung ist als INTERNET/IPSec Verbindung, realisiert. Es ist eine Punkt 
zu Punkt Verbindung zwischen einem ONTOP Router bei der IBM in Mainz und dem 
angewahlten Kundenrouter. Die logische Verbindung wird nach Auswahl des Kunden im 
NVAS/ONTOP, durch den IBM Spezialisten, zwischen dem IBM ONTOP Host und dem 
Kunden ONTOP Host fiber einen IPSec Tunnel (VPN) geschaltet. 

Der IPSec Tunnel wird nach einer 15 miniitigen Unterbrechung der Dateniibertragung wieder 
abgebaut. 

TSO/REXX/ISPF Anwendung 

Die REXX/ISPF Applikation TSO/ONTOP bietet eine einheitliche Oberflache fur alle 
von der IBM auf Kundenseite fur die Fehleranalyse genutzten Hilfsmittel. 
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Technische Beschreibung BTOP/ONTOP 

BTOP/ONTOP ist wie der Name schon sagt, die Batchvariante zum Online ONTOP. 

Hier geht es darum iiber eine schnelle IP Verbindung groBe Datenvolumen zwischen IBM 
und Kunden auszutauschen. BTOP arbeitet nach dem PUSH/PULL Prinzip und wird stets 
von der IBM Seite gestartet. 

BTOP/ONTOP Komponenten: 

• (NVAS/ONTOP) auf IBM Seite 

• ONTOP Netzwerkverbindung 

• BTOP-TSO Userid auf Kundenseite / BTOP Anwendung auf IBM Seite 

NetView Access Applikation (NVAS/ONTOP) 

NVAS/ONTOP auf der IBM Seite ist ein zertifiziertes “Security Gateway” das sicheren, 
kontrollierten und dokumentierten Zugriff aus dem IBM SNA Netz heraus auf Kundennetze 
garantiert. 

Netzwerkverbindung 

Die Netzwerkverbindung ist als Internet/IPSec Verbindung realisiert. Es ist eine Punkt zu 
Punkt Verbindung zwischen einem ONTOP Router bei der IBM in Mainz und dem 
angewahlten Kundenrouter. Die logische Verbindung wird nach Auswahl des Kunden im 
NVAS/ONTOP, durch den IBM Spezialisten, zwischen dem IBM ONTOP Host und dem 
Kunden ONTOP Host, durch Starten eines hinterlegten Jobs, iiber einen IPSec Tunnel (VPN) 
geschaltet. 

5 Minuten nach Ende der Dateniibertragung wird der IPSec Tunnel wieder abgebaut. 

BTOP Anwendung 

Die BTOP Anwendung ist auf dem IBM ONTOP Rechner etabliert. Durch Eingabe des 
Datenbestandsnamens in eine entsprechende Bildschirmmaske und betatigen der ENTER 
Taste wir ein TCP/IP-FTP JOB angestoBen, der die Netzverbindung schaltet und dann auf 
dieser Verbindung die Daten iibertragt. 


Hinweis: Wegen der vielfaltigen Unwagbarkeiten des Internets, werden BTOP Verbindungen 
iiber das Internet nur in Ausnahmesituationen geschaltet. 
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Zugriffsschutz 

Um den erhohten Sicherheitsbedenken der Kunden Rechnung zu tragen wird hier mit einem 

dreifachen Zugriffsschutz gearbeitet. 

1. Auf der IBM Seite ist durch ONTOP/NVAS gewahrleistet, daB nur Mitarbeiter, die sich 
mit Userid/Passwort identifizieren auf Kundensysteme zugreifen diirfen. Alle Aktivitaten 
an diesem Security Gateway werden protokolliert und 60 Tage aufbewahrt. Ein Zugriff 
auBerhalb dieses Gateways ist nicht moglich. 

2. Die Verbindungssicherheit, bei der Kommunikation zwischen IBM Router und Kunden 
Router wird durch IPSec gewahrleistet. IPSec erstellt ein VPN (Virtuell Private Network) 
auf dem Internet und verschliisselt sowohl den Verbindungsaufbau, als auch den 
Datentransfer. 

3. Beim Logon zum Kunden ONTOP, das in einer TSO Userid lauft wird emeut auf Userid 
und Passwort gepriift. Auch hier wird nur bei giiltigen Werten der Zugriff erteilt. 

4. Beim Batch Transfer muB der Kunde eine technische Userid bereitstellen, deren 
Userid/Passwort nur den ONTOP Verantwortlichen bekannt ist. Userid/Passwort werden 
verschliisselt bei der IBM gespeichert und nur wahrend der Ausfiihrung des Jobs 
beigesteuert. Den Endbenutzern sind diese Daten weder bekannt, noch zuganglich. 

Die IBM akzeptiert jede weitergehende Sicherheitseinrichtung auf Kundenseite solange diese 

nicht eine sinnvolle Nutzung von ONTOP verhindert. 
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ONTOP Userid und Passwort Verwaltung 

Implementierung 

Um die Verwaltung der ONTOP Userids und der ONTOP Passworter so einfach und sicher 
wie moglich zu gestalten wird folgende Vorgehensweise im RACF empfohlen. 

• Anlegen der ONTOP Benutzer Userids mit: 

- DEFAULT-GROUP = Onnnnnnn - (nnnnnnn = 7 stellige Kundennummer) 

Anlegen einer Gruppe ONTOP 

• Connecten aller ONTOP User zu dieser Gruppe 

• Autorisierung eines ONTOP Admin Users mit Special fur die ONTOP Gruppe 
Altemativ Permit des Admin Users auf: 

Class Facility / Profile IRR.PASSWORD.RESET 
Im Zusammenspiel mit den durch ONTOP zur Verfiigung gestellten Useridverwaltungs- 
routinen ergibt sich so eine einfach zu bedienende Knopfdrucklosung fur den Administrator. 

Nutzung 

Es bleibt dem Kunden iiberlassen die Userid/Passwort Verwaltung selbst durchzufiihren, oder 
an das IBM (ONTOP Team) zu delegieren. Falls der Kunde die Aufgabe selbst wahr nimmt, 
sollte er nur dann eine ONTOP Userid bereitstellen, wenn der Anrufer die Problemnummer 
nennen kann an der er arbeitet. In unklaren Fallen sollte die IBM Personalnummer des 
Anrufers erfragt werden und beim ONTOP Help Desk unter 06131-84-5003 gegengepriift 
werden. 


Vorteile: 

• Es ist keine Passwort Ubermittlung notwendig 

• Nur wer die Problemnummer kennt erhalt eine ONTOP Userid 

• Nur wer die Kundennummer kennt, kennt auch das ONTOP Passwort 


Falls im Kundenumfeld nicht mit einer dedizierten ONTOP Admin Userid gearbeitet werden 
soil, so ist es auch moglich eine beliebige andere Userid (Userids) zu nutzen, so lange 
folgende Voraussetzungen erfullt sind: 

• Die Userid hat die Berechtigung die ONTOP Passworter zuriickzusetzen. 

• Die Userid hat im Minimum update Berechtigung auf alle ONTOP Datenbestande 


Dieses Konzept erfordert eine Minimalzahl von 3 ONTOP Benutzer Userids. 

Je nach KundengoBe und Fehleraufkommen sollte dann die Useranzahl nach oben angepaBt 
werden. 
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Goldene Regeln fiir die effiziente Nutzung von TSO/ONTOP 

Die Effizienz von TSO/ONTOP ist direkt von seiner Verfiigbarkeit abhangig. 

Nur ein optimal gepflegtes und auf das Kundensystem angepaBtes TSO/ONTOP kann in jeder 
Fehlersituation fiir den Kunden den bestmoglichen Nutzen bringen. Deshalb sollten stets 
folgende Regeln beim Einsatz von TSO/ONTOP beachtet werden: 


1. Die ONTOP Logon Prozedur und die Kontrolltabellen miissen aktuell gehalten werden: 

- TOPLOG ONTOP Logon Profile 

- TOPENVTO ONTOP Environment Kontrolltabelle 

- TOPENVnn ONTOP Allokations Kontrolltabellen 


2. Die IPCS Member auf der Parmlib miissen zum OS/390 Stand passen 

- BLSCECT IPCS Verbs fiir Dump Formatierung 

- BLSCECTX IPCS Verbs fiir die Dump Formatierung 

- BLSCUSER “NON-Standard Verbs fiir die Dump Formatierung 

- IPCSPRxx IPCS session parameter 


3. ONTOP Datenbestande diirfen nicht ausgelagert werden 

4. ONTOP Userids benotigen eine TSO region size von 256MB 

5. ONTOP Userids sollten in eine optimierte eigene Service Klasse gelegt werden 

6. ONTOP Einsatz, Umfeld und Vorgehensweise sollten bekannt sein 


NUR EIN GEPFEGTES ONTOP IST WERTVOLL, 
EIN UNGEPFLEGTES ONTOP IST WERTLOS ! 
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Verbindungsdaten fiir TSO/ONTOP (bitte ausfullen) 


Hardware Router 

(z.B. IBM/Cisco/etc.) 




IPSec Definitionen 


Key 


Pre-shared Keys 


Hash 

MD5 

Encryption 

3DES 

Data 


Authentication 

HMAC-MD5 

Encapsulation 

3DES 

Tunnel Adressen 


IP Adresse (Tunnel) IBM 

192.109.81.40 

IP Adresse (Tunnel) Kunde 




IP Konfiguration Host 


IP Adresse 


Host TSO Daten 


Userid 


Pass wort 




IP Konfiguration Host (weiterer Host) 


IP Adresse 


Host TSO Daten 


Userid 


Pass wort 




Bei IBM verfiigbare Sourceadressen. 

Bitte gewiinschte Adresse ankreuzen. 

□ 192.168.69.2 (255.255.255.255) 

□ 192.168.169.2 (255.255.255.255) 
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Verbindungsdaten fur B TOP/ONTOP 


Hardware Router 

(z.B. IBM/Cisco/etc.) 




IPSec Definitionen 


Key 


Pre-shared Keys 


Hash 

MD5 

Encryption 

3DES 

Data 


Authentication 

HMAC-MD5 

Encapsulation 

3DES 

IP Adresse (Tunnel) IBM 

192.109.81.40 

IP Adresse (Tunnel) Kunde 




IP Konfiguration Host 


IP Adresse 


Host TSO Daten 


Userid 


Pass wort 




IP Konfiguration Host (weiterer Host) 


IP Adresse 


Host TSO Daten 


Userid 


Pass wort 




Bei IBM verfiigbare Sourceadressen. 

Bitte gewiinschte Adresse ankreuzen. 

□ 192.168.69.2 (255.255.255.255) 

□ 192.168.169.2 (255.255.255.255) 




Hinweis: Bitte nur ausfiillen wenn BTOP auch gewiinscht wird. 
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Ansprechpartner (bitte den Kundenteil ausfullen) 
Generelle Kundendaten 


Kundenname 


Kundennummer 


Software Service Vertragsnummer 



Kundenansprechpartner 


Name des ONTOP Ansprechpartners 


T elefonnummer 


FAX 


E-Mail Adresse 




Name des Router Ansprechpartners 


T elefonnummer 


FAX 


E-Mail Adresse 



IBM Kundenbetreuer 


Mitarbeitemame 


T elefonnummer 


FAX 


E-Mail Adresse 



IBM ONTOP Ansprechpartner 


Ansprechpartner 

ONTOP Helpdesk 

T elefonnummer 

06131-84-5003 

FAX 

06131-84-6611 

E-Mail Adresse 

ONTOP@de.ibm.com 



Ansprechpartner 

Alexander Damm 

T elefonnummer 

06131-84-5646 

FAX 

06131-84-6611 

E-Mail Adresse 

adamm@de.ibm.com 



Ansprechpartner 

Heinz-Dieter Hassinger 

T elefonnummer 

06131-84-5477 

FAX 

06131-84-6611 

E-Mail Adresse 

hhd@de.ibm.com 
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Ubersichtsdiagramm 
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